俄羅斯首個BEC商業電子郵件詐〓騙犯罪網絡浮出水面

發布時間:2020-07-10

近日,Agari的安全研究人員發現了有史以來第一個報告的俄羅斯商業電子郵件泄露(BEC)網絡犯◥罪網絡,該犯罪網絡也是Nigerian Scammer的幕後黑手,最近正在將目光投向基於電子郵▂件的↑攻擊媒介。

這個俄羅斯BEC團夥被代號Cosmic Lynx,自去年7月以來,已經針對46個國家/地區的200多個高級管理人員發〒動BEC郵件詐騙☆攻擊。與其他常規的BEC騙局不同,Cosmic Lynx的電子郵件內容@ 非常逼真,以沒◆有部署DMARC郵件安全策略的受害∏者為目標,並利用偽造的“合並並購”方案來竊取更大額資︻金。

據Agari的研◆究人員說:
這是向全球電子郵件威脅態勢的歷史性轉變,預示著全球CISO必須立即︻應對的新型復雜的社交網絡釣魚攻擊。
研究◢人員說,大多數BEC詐騙團夥團體都沒有特定的攻擊目標,但Cosmic Lynx則具有明確的針對性,它專門尋找具有重要全球影響力√的大型跨國但是強大至散仙組織,其中包括許多財富500強或全球2,000強公司。Agari表示,Cosmic Lynx的目標員工通常是高級管理▃人員,其中75%擔任副總裁、總經理或常務董事的頭銜。
幾乎所有攻擊事件的說辭都是受害者的公司正準備與々一家亞洲公司達成收購協議。Cosmic Lynx聲稱自己是這家亞洲公司的首席不凡日前執行官,並要求目標員工與“外部法律顧◥問”合作,以協調完成收購所需的愣愣付款。由於其敏感的性質,要求目標員工對交易的細↘節保密,直到◥交易完成為止,這使欺詐行為更容易被發現而不被發現。
研究人員說,Cosmic Lynx電子郵件的內容非常“規範和「專業”,與通常使用較差語法的其他BEC攻擊迥然是我不同。
研究人員說:
與大多數BEC電子郵件中拼寫錯誤的單詞和語法錯誤不同,Cosmic Lynx電子是什么關子郵件通常非常詳細,並且幾乎用完美的英語書寫。在某些◢情況下,Cosmic Lynx使用大多數人的詞匯表中可能沒有的專業書面單詞,並在適當的上下文中使用。
圖片:Agari
Cosmic Lynx往往會假借律師的身份來取得信任。例如,Cosmic Lynx劫持了英國某ζ知名律師事務所中真正律師的身斷人魂等人死死份,從而為其攻擊增加了另一層合法性。
Cosmic Lynx首♂先註冊一個與律師事務所的實際域名非常相似的域名,然後創建詳細的電子郵件簽名,其中包含模擬律師的照片、指向合法律師事務所網站的鏈接』,甚至是保密免責聲明。
最後,作為“收購”的一部分,要求目標員工將千仞峰一筆或多筆付款發送到該組控制的↙子賬戶。然後,它將被盜資金通過香港的子賬戶轉移。研究人員說,其他洗錢賬戶位於匈牙利、葡萄牙和羅馬尼亞㊣ 。他們說,該組織積極避「免使用美國的洗錢賬戶。
圖片:Agari
Cosmic Lynx攻擊得手後索要的金額也明顯高於平均值,在大多數高管模仿BEC攻擊中,平均索要的金額為55,000美元,但研究人員表示,Cosmic Lynx電子郵件索要金額高達數十萬美元,有時甚至數百萬美●元。
Cosmic Lynx還會嗅探尚未部署DMARC策略的組織╲。創建DMARC的目的是防止惡意行為全完者在發送電子郵件時直接欺騙組織的域。如果目標沒∞有DMARC策略,則威脅組將直接假冒CEO的電子郵件地址,並將Reply-To電子郵件設置為他☉們實際用於與受害者通信的操作電子郵件賬戶。
研究人員說:
假冒CEO的電子郵件地址可以增強其電子郵踏雪無痕件的※真實性。基於我們對Cosmic Lynx歷史攻擊的分析,很明顯,該小組知道哪些目標組織實施了有效的DMARC政策,哪些▓組織沒有實施。
2020年,網絡釣卐魚詐騙繼續給公司造成嚴重損失。FBI在2月份發這要是運氣好布的IC3年度網絡犯罪報告中表示,企業電子郵件泄Ψ 露(BEC)攻擊在2019年給受害者造成了17億美元的損失。在2019年,這些類★型的“成功”攻擊案例包括媒體集團Nikkei(2,900萬美元)、德克薩斯州學區(230萬美元),甚至還有一個社區非營利組織(120萬美元)。詐騙的對象不限於企業,甚至包括市〖政府和教堂。例如佛羅裏達州的奧卡拉市政府(City of Ocala),被詐騙了742,000美元,而俄亥俄州布倫瑞克(Brunswick)的ζ 一座教堂,去年8月被詐【騙了175萬美元。
研究人員警告說,Cosmic Lynx代表了新型的更復九幻真人再次以著ròu眼難以捕捉雜、更難檢測的BEC攻擊。

與傳統的BEC團體不同,Cosmic Lynx展示了開發更復雜和更具創造性的攻擊的能力,這使它們與我們每天看到的更通用的BEC攻擊有顯著【區別。

中安威士:保護核心數據,捍衛網絡安全!

來源:51cto

上一條:因出售全球數百家企業網絡訪問權,Fxmsp黑客■遭起訴 下一條:警方正在購買黑客竊取數據的訪問權 以從中搜集調查線索